2013年5月11日
过 DNF TP 驱动保护(二)
摘要: 过 DNF TP 驱动保护(二)文章目录:01. 博文简介:02. 环境及工具准备:03. 分析 TP 所做的保护:04. 干掉 NtOpenProcess 中的 Deep InLine Hook:05. 干掉 NtOpenThread 中的 Deep InLine Hook:06. 干掉 NtReadVirtualMemory 中的 InLine Hook:07. 干掉 NtWriteVirtualMemory 中的 InLine Hook:08. 干掉 KiAttachProcess 的 InLine Hook:09. 干掉 NtGetContextThread 中的 InLine Hoo 阅读全文
posted @ 2013-05-11 14:54 御剑残风 阅读(300) 评论(0) 推荐(0) 编辑
过 DNF TP 驱动保护(一)
摘要: 过 DNF TP 驱动保护(一)文章目录:01. 博文简介:02. 环境及工具准备:03. 分析 TP 所做的保护:04. 干掉 NtOpenProcess 中的 Deep InLine Hook:05. 干掉 NtOpenThread 中的 Deep InLine Hook:06. 干掉 NtReadVirtualMemory 中的 InLine Hook:07. 干掉 NtWriteVirtualMemory 中的 InLine Hook:08. 干掉 KiAttachProcess 的 InLine Hook:09. 干掉 NtGetContextThread 中的 InLine Hoo 阅读全文
posted @ 2013-05-11 14:52 御剑残风 阅读(535) 评论(0) 推荐(0) 编辑
2013年5月7日
【转】【原创】某超级模块中游戏双开功能实现
摘要: 【转】某超级模块中游戏双开功能实现超级模块中有个双开功能,能够双开腾讯的大部分游戏,例如DNF。于是就下载模块下来分析了一下。随便在网上找一个用超级模块写的双开工具。然后OD载入,下bpDeleteFileA断点。为什么要下deleteFile断点,而不是CreateFile,是因为该模块注册驱动文件后就会将驱动文件删除。下了断点之后点击启动双开的时候,OD断下。查看堆栈,可以看到写出的驱动路径。将驱动文件拷贝出来,文件大小只有3kb,用IDA打开。代码:INIT:00010985;NTSTATUS__stdcallDriverEntry(PDRIVER_OBJECTDriverObject, 阅读全文
posted @ 2013-05-07 22:33 御剑残风 阅读(498) 评论(2) 推荐(0) 编辑